法规标准不全责任落实不明技术保障不力

　　（一）信息安全法规和标准体系建设不全面对新形势下信息安全保障工作的发展需要，力行业信息安全在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设相对滞后，缺乏总体规划；二是规范和标准互通性和协调性不强，部分规范和标准的可执行性较差；三是部分规范和标准已不适应现实需要，尤其是新能源、新技术和新模式的引入，原有的信息安全防护标准无法应对某些新型信息安全的威胁；四是部分信息安全规　  范和标准在行业内难以得到切实落实。

　　2007年国家监会启动了力行业信息系统安全等级保护定级工作，并编制印发了《力行业信息系统安全等级保护管理办法》和《信息系统安全等级保护定级指南》，行业信息安全法规和标准体系初步形成。但对力行业信息系统等级保护的具体要求和规范意见，以及后续的信息系统等级测评和督促检查机制却仍未建立起来。

　　（二）组织体系与责任落实不明当前，力行业中普遍存在重生产安全轻信息安全的状况，力企业对信息安全重要性的认知程度也存在经济发展水平和所在地域上的差异。即便企业高层逐步认识到信息安全的重要性，也存在着以下问题：一是信息资源在公司的战略资产中的地位受到高层重视，但具体情况不甚清楚；二是信息安全工作缺乏明确的概念描述和参数指标；三是信息安全工作的责任与职能落实不够清晰，大部分力企业未设立信息安全专岗。

　　（三）网络和数据安全防护不完善由于互联网的开放性，来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件，都时刻威胁着力行业的信息系统安全，成为制约行业平稳、安全发展的障碍。因此，维护网络和数据安全成为行业信息安全保障工作的重要组成部分。

　　近年来，力企业采取了一系列措施，建立了相对安全的分区网络安全防护体系和冗灾备份系统，220千伏及以上主网信息安全防护体系已较为完善，基本保障了信息系统的安全运行。但细追究起来，力行业的网络安全防护体系规划、配网信息安全防护建设及灾备系统建设还不够完善，还存存以下几方面的问题：一是网络安全防护体系缺乏统一的规划；二是110千伏及以下配网纵向数据输安全性防护推进工作有待加强；三是网上营销管理系统防护能力有待继续加强；四是对数据安全重视不够，数据备份措施有待改进。

　　（四）技术支撑及后勤保障有待加强随着近几年信息安全重要性的逐步凸显，力行业信息安全工作逐步得到重视，行业信息安全专业技术队伍不断发展壮大。部分大型国有力企业已经建立了专门的科技信息部门，并设立专岗、专职人员负责信息安全工作。但是，仍存在着以下几方面问题：一是随着信息系统等级保护工作的深入开展，后续系统测评工作未能及时跟进，目前社会上有资质的测评机构大都缺乏必要的力运行基础知识；二是信息安全人才队伍依然存在着结构不合理、后续教育不足等问题，此行业的人才培养有待加强；三是信息安全队伍不稳定，人员流动性较大，甚至有的已经设立信息安全技术部门的单位出现了撤编的情况。